Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Campanya de programari maliciós DollyWay

Campanya de programari maliciós DollyWay

El Mezo el Programari maliciós
Traduir a:
Català

DollyWay, una operació de programari maliciós activa des del 2016, ha compromès més de 20.000 llocs de WordPress a tot el món. Aquesta campanya en curs s'ha sofisticat al llarg dels anys, perfeccionant les seves estratègies d'evasió, reinfecció i monetització, fet que la converteix en una amenaça important per a la seguretat del lloc.

L’evolució de DollyWay cap a un sistema de redirecció tàctica

Inicialment, DollyWay distribuïa ransomware i troians bancaris, cosa que suposava una amenaça directa per als visitants del lloc. Tanmateix, en la seva versió actual (DollyWay v3), el programari maliciós s'ha centrat en operar com un sistema de redirecció d'estafes, portant els usuaris a llocs fraudulents.

Investigacions recents han revelat que DollyWay forma part d'una operació més extensa i de llarga durada coneguda com "DollyWay World Domination". L'operació inclou diverses campanyes que comparteixen codi, infraestructura i tàctiques de monetització similars. El programari maliciós rep el nom de la cadena que es troba al seu codi:

Com DollyWay v3 compromet milers de llocs de WordPress

DollyWay v3 s'orienta als llocs vulnerables de WordPress aprofitant defectes de n-days en complements i temes. Una vegada que un lloc està compromès, el programari maliciós redirigeix els visitants a llocs maliciosos que ofereixen cites, apostes, estafes de criptomoneda i sortejos falsos.

Des del febrer de 2025, DollyWay és responsable de generar més de 10 milions d'impressions fraudulentes al mes, dirigint el trànsit a pàgines d'estafa que es monetitza a través de les xarxes d'afiliació VexTrio i LosPollos. Aquest procés de redirecció es gestiona mitjançant un sistema de direcció del trànsit (TDS) que filtra els usuaris en funció de característiques específiques.

El procés d’infecció en tres etapes

  • Configuració d'injecció i redirecció : el programari maliciós injecta un script al lloc mitjançant wp_enqueue_script, carregant un segon script no segur des del lloc compromès.
  • Filtret de trànsit : el segon script analitza les dades de referència dels visitants, categoritzant els objectius de redirecció. Els usuaris no són redirigits si:
  • No hi ha cap referent (que ha visitat directament el lloc web).
  • Es detecten com a bots.
  • Són usuaris de WordPress registrats, inclosos els administradors.
  • Redirecció final a pàgines fraudulentes : tres llocs infectats aleatòriament actuen com a nodes TDS, carregant JavaScript ocult que redirigeix el visitant a les pàgines d'estafa de VexTrio o LosPollos. Aquesta redirecció només es produeix quan el visitant fa clic en un element de la pàgina, cosa que fa que sigui més difícil de detectar.

Tècniques de persistència i sigil de DollyWay

DollyWay ha desenvolupat una sèrie de tècniques per garantir la seva persistència en llocs infectats. Una vegada que compromet un lloc de WordPress, el programari maliciós assegura que es reinfecta amb cada càrrega de pàgina, cosa que dificulta l'eliminació. Aquestes són les seves tàctiques clau:

  • Difondre el codi PHP entre els connectors actius.
  • Injectar codi maliciós al connector WPCode (una eina de tercers que s'utilitza per modificar WordPress sense alterar els fitxers bàsics).
  • Amagar WPCode de la llista de connectors fa que sigui invisible per als administradors i sigui més difícil d'eliminar.

A més, el programari maliciós crea comptes d'administració ocults amb cadenes hexadecimals aleatòries de 32 caràcters, que només són visibles mitjançant la inspecció directa de la base de dades, assegurant que els atacants mantenen el control sobre el lloc.

Conclusió: una amenaça persistent i en evolució

DollyWay és una campanya de programari maliciós en curs i resistent que continua evolucionant amb tàctiques cada cop més sofisticades. La seva capacitat de:

  • Reinfectar els llocs automàticament
  • Evita la detecció mitjançant scripts ocults i comptes d'administrador
  • Monetitzar el trànsit de redirecció mitjançant xarxes relacionades amb el frau

… el converteix en una amenaça greu per als propietaris de llocs de WordPress a tot el món. Els administradors del lloc web han de mantenir-se vigilants i actualitzar els temes, els connectors i els protocols de seguretat amb regularitat per mitigar els riscos d'infecció.

Tendència

Més vist

Carregant...